Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aktivieren Sie den öffentlichen Zugriff auf einen MSK bereitgestellten Cluster
Amazon MSK bietet Ihnen die Möglichkeit, den öffentlichen Zugriff auf die Broker von MSK bereitgestellten Clustern zu aktivieren, auf denen Apache Kafka 2.6.0 oder spätere Versionen ausgeführt werden. Aus Sicherheitsgründen können Sie beim Erstellen eines Clusters den öffentlichen Zugriff nicht aktivieren. MSK Sie können jedoch einen vorhandenen Cluster aktualisieren, um ihn öffentlich zugänglich zu machen. Sie können auch einen neuen Cluster erstellen und ihn dann aktualisieren, um ihn öffentlich zugänglich zu machen.
Sie können den öffentlichen Zugriff auf einen MSK Cluster ohne zusätzliche Kosten aktivieren, für die AWS Datenübertragung innerhalb und aus dem Cluster fallen jedoch die Standardkosten für die Datenübertragung an. Informationen zur Preisgestaltung finden Sie unter Amazon EC2 On-Demand-Preise
Um den öffentlichen Zugriff auf einen MSK bereitgestellten Cluster zu aktivieren, stellen Sie zunächst sicher, dass der Cluster alle der folgenden Bedingungen erfüllt:
Die Subnetze, die dem Cluster zugeordnet sind, müssen öffentlich sein. Das bedeutet, dass den Subnetzen eine Routing-Tabelle mit einem angeschlossenen Internet-Gateway zugeordnet sein muss. Informationen zum Erstellen und Anhängen eines Internet-Gateways finden Sie unter Internet-Gateways im VPC Amazon-Benutzerhandbuch.
Die Zugriffskontrolle ohne Authentifizierung muss ausgeschaltet sein und mindestens eine der folgenden Zugriffskontrollmethoden muss aktiviert sein:, m. SASL/IAM, SASL/SCRAM TLS Weitere Informationen zum Aktualisieren der Zugriffssteuerungs-Methode eines Clusters finden Sie unter Sicherheitseinstellungen eines MSK Amazon-Clusters aktualisieren.
-
Die Verschlüsselung innerhalb des Clusters muss aktiviert sein. Die Einstellung Ein ist die Standardeinstellung beim Erstellen eines Clusters. Es ist nicht möglich, die Verschlüsselung innerhalb des Clusters für einen Cluster zu aktivieren, der mit ausgeschalteter Verschlüsselung erstellt wurde. Es ist daher nicht möglich, den öffentlichen Zugriff für einen Cluster zu aktivieren, der mit deaktivierter Verschlüsselung erstellt wurde.
-
Der Klartext-Datenverkehr zwischen Brokern und Clients muss Aus sein. Informationen darüber, wie Sie ihn ausschalten können, wenn er eingeschaltet ist, finden Sie unter Sicherheitseinstellungen eines MSK Amazon-Clusters aktualisieren.
-
Wenn Sie die TLS ZugriffskontrollmethodenSASL/SCRAModer m verwenden, müssen Sie Apache Kafka für Ihren Cluster einrichten. ACLs Nachdem Sie Apache Kafka ACLs für Ihren Cluster festgelegt haben, aktualisieren Sie die Clusterkonfiguration, sodass die Eigenschaft für den Cluster
allow.everyone.if.no.acl.foundauf false gesetzt wird. Weitere Informationen zum Aktualisieren der Konfiguration eines Clusters finden Sie unter Operationen zur Broker-Konfiguration. Wenn Sie die IAM Zugriffskontrolle verwenden und Autorisierungsrichtlinien anwenden oder Ihre Autorisierungsrichtlinien aktualisieren möchten, finden Sie weitere Informationen unterIAMZugriffskontrolle. Informationen zu Apache Kafka finden Sie ACLs unterApache Kafka ACLs.
Nachdem Sie sichergestellt haben, dass ein MSK Cluster die oben aufgeführten Bedingungen erfüllt, können Sie den AWS Management Console AWS CLI, oder Amazon verwenden, MSK API um den öffentlichen Zugriff zu aktivieren. Nachdem Sie den öffentlichen Zugriff auf einen Cluster aktiviert haben, können Sie eine öffentliche Bootstrap-Broker-Zeichenfolge für diesen Cluster abrufen. Weitere Informationen zum Abrufen der Bootstrap-Broker für einen Cluster finden Sie unter Holen Sie sich die Bootstrap-Broker für einen Amazon-Cluster MSK.
Wichtig
Stellen Sie neben der Aktivierung des öffentlichen Zugriffs auch sicher, dass für die Sicherheitsgruppen des Clusters TCP Regeln für eingehenden Datenverkehr gelten, die den öffentlichen Zugriff von Ihrer IP-Adresse aus ermöglichen. Wir empfehlen, dass Sie diese Regeln so restriktiv wie möglich gestalten. Informationen zu Sicherheitsgruppen und Regeln für eingehenden Datenverkehr finden Sie unter Sicherheitsgruppen für Sie VPC im VPC Amazon-Benutzerhandbuch. Portnummern finden Sie unter Port-Informationen. Anweisungen zum Ändern der Sicherheitsgruppe eines Clusters finden Sie unter Die Sicherheitsgruppe eines MSK Amazon-Clusters ändern.
Anmerkung
Wenn Sie die folgenden Anweisungen verwenden, um den öffentlichen Zugriff zu aktivieren und dann immer noch nicht auf den Cluster zugreifen können, finden Sie dazu Informationen unter Es kann nicht auf einen Cluster zugegriffen werden, für den der öffentliche Zugriff aktiviert ist.
Aktivieren des öffentlichen Zugriffs mit der Konsole
Melden Sie sich bei der AWS Management Console an und öffnen Sie die MSK Amazon-Konsole zu https://console.aws.amazon.com/msk/Hause? region=us-east-1#/home/
. Wählen Sie in der Cluster-Liste den Cluster aus, für den Sie den öffentlichen Zugriff aktivieren möchten.
-
Wählen Sie die Registerkarte Eigenschaften und suchen Sie dann den Abschnitt Netzwerkeinstellungen.
-
Wählen Sie Öffentlichen Zugriff bearbeiten.
Einschalten des öffentlichen Zugriffs mit dem AWS CLI
Führen Sie den folgenden AWS CLI Befehl aus
ClusterArnundCurrent-Cluster-Versionersetzen Sie dabei ARN und durch die aktuelle Version des Clusters. Verwenden Sie den Befehl DescribeClusteroperation oder describe-cluster, um die aktuelle Version des ClustersAWS CLI zu ermitteln. KTVPDKIKX0DERist ein Beispiel für eine Version.aws kafka update-connectivity --cluster-arnClusterArn--current-versionCurrent-Cluster-Version--connectivity-info '{"PublicAccess": {"Type": "SERVICE_PROVIDED_EIPS"}}'Die Ausgabe dieses
update-connectivityBefehls sieht wie das folgende JSON Beispiel aus.{ "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2", "ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef" }Anmerkung
Um den öffentlichen Zugriff zu deaktivieren, verwenden Sie einen ähnlichen AWS CLI Befehl, jedoch mit den folgenden Verbindungsinformationen:
'{"PublicAccess": {"Type": "DISABLED"}}'-
Um das Ergebnis des
update-connectivityVorgangs zu erhalten, führen Sie den folgenden Befehl aus undClusterOperationArnersetzen Sie ihn durch den BefehlARN, den Sie in der Ausgabe desupdate-connectivityBefehls erhalten haben.aws kafka describe-cluster-operation --cluster-operation-arnClusterOperationArnDie Ausgabe dieses
describe-cluster-operationBefehls sieht wie im folgenden JSON Beispiel aus.{ "ClusterOperationInfo": { "ClientRequestId": "982168a3-939f-11e9-8a62-538df00285db", "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2", "CreationTime": "2019-06-20T21:08:57.735Z", "OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef", "OperationState": "UPDATE_COMPLETE", "OperationType": "UPDATE_CONNECTIVITY", "SourceClusterInfo": { "ConnectivityInfo": { "PublicAccess": { "Type": "DISABLED" } } }, "TargetClusterInfo": { "ConnectivityInfo": { "PublicAccess": { "Type": "SERVICE_PROVIDED_EIPS" } } } } }Wenn
OperationStateden Wert „UPDATE_IN_PROGRESS“ aufweist, warten Sie eine Weile, bevor Sie dendescribe-cluster-operation-Befehl erneut ausführen.
Öffentlichen Zugriff über Amazon einschalten MSK API
Informationen zum Ein- oder Ausschalten des API öffentlichen Zugriffs auf einen Cluster finden Sie unter UpdateConnectivity.
Anmerkung
Aus Sicherheitsgründen erlaubt Amazon MSK keinen öffentlichen Zugriff auf Apache ZooKeeper - oder KRaft Controller-Knoten.
